strongswan – общий ключ не найден

Вопрос или проблема

config setup
    charondebug="ike 2, knl 2, cfg 2"

conn my-vpn
    keyexchange=ikev1
    ike=aes256-sha256-modp2048,aes128-sha1-modp1024   # Предложения Фазы 1
    esp=aes256-sha256,aes128-sha1                     # Предложения Фазы 2
    ikelifetime=28800s                                # Время жизни Фазы 1
    lifetime=3600s                                    # Время жизни Фазы 2
    keyingtries=%forever
    authby=secret
    left=%defaultroute                                # Локальная машина (клиент)
    leftauth=psk
    leftid=192.168.101.123                            # Явный локальный ID
    right=13.61.111.40                                # IP удаленного сервера
    rightauth=psk
    auto=start

%any 13.61.111.40 : PSK "key"

   sudo ipsec up my-vpn                             
    initiating Main Mode IKE_SA my-vpn[3] to 13.61.111.40
    generating ID_PROT request 0 [ SA V V V V V ]
    sending packet: from 192.168.101.123[500] to 13.61.111.40[500] (276 bytes)
    received packet: from 13.61.111.40[500] to 192.168.101.123[500] (148 bytes)
    parsed ID_PROT response 0 [ SA V V V ]
    received DPD vendor ID
    received FRAGMENTATION vendor ID
    received NAT-T (RFC 3947) vendor ID
    selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
    generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
    sending packet: from 192.168.101.123[500] to 13.61.111.40[500] (244 bytes)
    received packet: from 13.61.111.40[500] to 192.168.101.123[500] (244 bytes)
    parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
    no shared key found for '192.168.101.123'[192.168.101.123] - '13.61.111.40'[13.61.111.40]
    no shared key found for 192.168.101.123 - 13.61.111.40
    generating INFORMATIONAL_V1 request 821580715 [ N(INVAL_KE) ]
    sending packet: from 192.168.101.123[500] to 13.61.111.40[500] (56 bytes)
    establishing connection 'my-vpn' failed

Ответ или решение

Столкнувшись с ошибкой "no shared key found" при попытке установить сайт-ту-сайт VPN с использованием StrongSwan, важно сосредоточиться на деталях конфигурации и возможных проблемах. Ваша конфигурация, кажется, настроена корректно, но проблемой может быть или ошибка в файле ipsec.secrets, или несоответствие с удаленной стороной. Рассмотрим шаги, которые могут помочь в решении этой проблемы.

Анализ и рекомендации:

1. Проверка соответствия общего ключа (PSK):

   • Убедитесь, что предопределённый общий ключ (PSK) точно совпадает на обоих концах соединения VPN. Ошибка в одном единственном символе или пробеле может вызвать сбой.
   • Проверьте файл /usr/local/etc/strongswan/ipsec.secrets. Убедитесь, что ключ "key" действителен, и синтаксис файла верен.

2. Идентификаторы (IDs) сторон:

   • Сообщение об ошибке указывает на использование IP-адресов в качестве идентификаторов (‘192.168.101.123’ и ‘13.61.111.40’). Убедитесь, что это соответствует конфигурации на обеих сторонах.
   • Вы можете уточнить идентификаторы, используя другие форматы, такие как FQDN или другие удостоверенные значения, если это применимо и согласовано с конфигурацией вашего удаленного узла.

3. Обновление и переносимость настроек:

   • Проверьте, поддерживает ли ваша версия StrongSwan используемую версию IKEv1. Хотя вы его указали в конфигурации, переход на IKEv2 может улучшить совместимость и безопасность, если это возможно на вашем управляемом устройстве.

4. Расширенная диагностика:

   • Уровень ведения журнала уже настроен достаточно подробно через charondebug="ike 2, knl 2, cfg 2". Улучшите уровень ведения журнала для глубокой диагностики, если потребуется.
   • Попробуйте установить соединение с адаптером tcpdump или другими инструментами мониторинга, чтобы увидеть, какие именно пакеты данных обрабатываются неправильно.

5. Тестирование и валидация:

   • Используйте команды проверки конфигурации StrongSwan, такие как sudo ipsec listall, для диагностики существующих соединений и их статусов.
   • Проверьте правильность ввода всех данных, повторно протестировав соединение после любого изменения.

Подводя итог, основным фактором в решении проблемы является корректная и согласованная на обоих концах настройка общего секретного ключа. Простая ошибка в конфигурации, такая как опечатка или расхождение в идентификаторах, может помешать установке VPN-соединения. Убедитесь, что конфигурационные файлы синхронизированы и все версии программного обеспечения совместимы.

В случае, если проблема сохраняется и ваши проверки не выявляют проблемы, вам может потребоваться обратиться к официальной документации StrongSwan или в службу поддержки для более детального анализа проблемы.